《《信息安全管理规程》》由会员分享,可在线阅读,更多相关《《信息安全管理规程》(6页珍藏版)》请在装配图网上搜索。
1、信息安全管理规程编号:00-18022-*版号:A 页码:第5页 共5页汉能控股有限公司编 号00-18022-*版 号A内部信息信息安全管理规程生效日期 1. 目的确保在所有信息化服务服务过程中有效地保证信息安全。确保公司的业务运作符合相关法律和法规要求,贯彻落实监管机构的信息安全管理要求。2. 适用范围适用于流程信息部计算机信息安全管理。3. 工作程序3.1 收集信息安全要求:信息安全管理岗组织收集适用的法律法规、监管机构的安全要求,形成计算机信息安全要求汇总。3.2 确立信息安全方针:流程信息部部务会根据计算机信息安全要求汇总,确立适合的信息安全方针,提出信息安全风险评估需求。3.3 制
2、定、修订信息安全制度:信息安全管理岗根据流程信息部的信息安全方针组织、发起制定、修订配套的信息安全制度,报流程信息部部务会审批,并按公司相关规定进行批准、发布。3.4 制定风险评估计划:根据风险评估要求制定风险评估计划,进行资产识别、风险评估。3.5 资产识别、风险评估:各组长组织本组人员根据风险评估计划实施资产识别与风险评估,实施方法参照流程信息部信息安全风险评估管理规程。3.6 风险处置:各组根据资产清单与风险清单制定风险处置计划,由信息安全管理岗汇总幵报信息安全领导小组审批。3.7 监控及报告:各组组长根据风险处置计划制定与业领域内的风险处理计划;各组组长协调本组执行已批准的风险处理计划
3、;资产负责人应实施日常监控(系统、网络、设备),做好事件记彔。注:日常监控、日常工作中产生的事件可能会引发事件管理流程;资产负责人遇信息安全事件时,按照事件管理流程处理事件,并按规定向安全管理员上报事件。3.8 安全检查、内部审核:信息安全管理岗应定期发起对各类记彔进行内部审核,将发现的问题进行汇总,提出纠正和预防措施单。内审每年至少进行一次。3.9 安全事件统计分析:信息安全管理岗汇总统计流程信息部范围内的信息安全事件,并进行分析,形成分析报告。4. 信息安全管理体系改进4.1 识别改进点。信息安全管理岗应收集相关信息,明确改进点和内容。4.2 召开改进讨论会议。信息安全管理岗发起召开信息安
4、全讨论会,确定改进要求。4.3 制定改进计划。各组制定改进计划,信息安全管理岗将改进计划汇总后报公司信息化领导小组审批。4.4 执行改进计划。各组组织本组人员进行信息安全方面的改进实施,信息安全管理岗负责协助各组开展改进工作。部门级信息安全管理改进工作由公司信息化领导小组任命负责人。4.5 改进回顾。信息安全管理岗对改进情况以及全年的安全管理进行回顾并形成信息安全管理报告。5. 信息安全基本策略5.1 信息安全组织5.2 资产管理5.3 人力资源安全5.4 物理及环境安全5.5 通讯及环境安全5.6 访问控制5.7 信息系统获取、开发和维护5.8 信息安全事件5.9 业务连续性5.10 合规性
5、6. 信息安全管理的指标及有效性测量6.1 信息安全管理应持续的对体系中的控制点进行监控、检查,以保证控制点的有效性,验证其安全要求是否被满足。6.2 信息安全管理体系的监控和评估遵循“全面检查,重点考察,不断完善”的原则开展。全面的对控制点检查,保证体系的完整性;设定控制指标,对重点管控措施进行重点监控。通过对体系的完整性分析、指标趋势分析衡量管理体系的有效性,导出改进要点及改进措施,保证体系不断完善。7. 信息安全检查流程信息部应定期开展安全检查工作,由信息安全管理岗负责组织,具体包括以下几种形式:7.1 日常安全检查。由信息安全管理岗组织人员进行员工信息安全制度执行情况检查。7.2 专项
6、信息安全检查。由信息安全管理岗发起,对某一技术领域或某一控制域、控制点进行的专项检查;或响应监管机关的审计而发起的检查。7.3 安全自查。由信息安全管理岗发起,各组对本组工作进行信息安全自查,将自查结果报信息安全管理岗汇总。7.4 内审、外审。信息安全管理岗负责每年发起组织内审、外审,对信息安全管理体系进行全面检查。8. 检查工作的程序为保证检查工作顺利开展,每次检查工作需要包括编制计划、申请审批、实施、报告、后继检查等几个阶段。9. 安全检查启动条件以下事件将引发信息安全检查:9.1 内审、外审。9.2 年度信息安全管理检查计划中安排的信息安全检查。9.3 信息技术安全事件/信息技术安全问题。9.4 由于环境变更所带来的潜在安全风险的增加。9.5 监管机关审计前的自查要求。10. 相关文件10.1 流程信息部信息安全风险评估管理规程
《信息安全管理规程》
